Hilfsmittel für den Betrieb

« zur Übersicht

Folgende Hilfsmittel werden für den Betrieb bereitgestellt:

• 6.1 Dokumentenrahmen für ein IDS-Betriebshandbuch
• 6.2 Übersicht über betriebsrelevante Prozesse und Aktivitäten

6.1 Dokumentenrahmen für ein IDS-Betriebshandbuch

Die im Betriebshandbuch aufgeführten Punkte können im Fall der Auslagerung des IDS an externe Betreiber durch Dienstgüte-Vereinbarungen (Service-Level-Agreements) referenziert werden.

Kapitel 1: Motivierende Einleitung

Die Zielsetzungen des IDS-Einsatzes sind managementorientiert und technikorientiert zu beschreiben. Die Verankerung des IDS-Einsatzes in den Sicherheitsstandards des Unternehmens (im Sinne einer "Policy") ist an dieser Stelle zu referenzieren bzw. zu zitieren.

Kapitel 2: Allgemeines

In diesem Abschnitt werden alle zum Dokument gehörenden "Metadaten" aufgeführt:

• die Einordnung des Dokuments in Bezug auf weitere Dokumente zum organisationsweiten IT-Sicherheitsmanagement,
• Stand und Versionsnummer des Dokuments, Bearbeiter, Versionshistorie,
• Verantwortlichkeiten für die Fortschreibung des Dokuments,
• Adressaten des Handbuchs: Sämtliche direkt oder indirekt am IDS-Einsatz und Betrieb beteiligte Organisationseinheiten, Institutionen oder Partner.

Kapitel 3: Beschreibung der Infrastruktur

Kapitel 3.1: Architektur des IDS

Der konkrete Aufbau des eingesetzten IDS, die Komponenten des IDS und ihr Einsatzzweck im IDS-Umfeld sind zu beschreiben:

• IDS-Management- und Auswertungsstation,
• IDS-Ereignisdatenbank,
• eingesetzte IDS-Sensoren und ihre Platzierungen,
• IDS-relevante Netzwerkkomponenten (Hubs, TAPs, Switches, Teilnetze),
• IDS-relevante sonstige Systeme.

(Die Beschreibung kann aus dem Feinkonzept übernommen werden).

Kapitel 3.2: Funktionsweise des IDS

Beschreibung der Gesamtfunktion des IDS sowie der Teilfunktionen der einzelnen IDS-Komponenten.

Kapitel 3.3: Ausstattungsmerkmale der IDS-Komponenten

Detailbeschreibung der einzelnen IDS-Komponenten (Namensgebung, IP-Adressen, Konfigurationsmerkmale)

Kapitel 4: Regelungen zur Inbetriebnahme der einzelnen IDS-Komponenten

Kapitel 4.1: Inbetriebnahme der Management- und Auswertungsstation(en)

Die Inbetriebnahme der eingesetzten Management- und Auswertungsstation(en) ist zu beschreiben. Dies umfasst

• Installationshinweise,
• Zuständigkeit für die Installation der Komponente und
• Zuständigkeit für die Abnahme der Komponente.

Kapitel 4.2: Inbetriebnahme der IDS-Ereignisdatenbank

Die Inbetriebnahme der eingesetzten Ereignisdatenbank ist zu beschreiben. Dies umfasst

• Installationshinweise,
• Zuständigkeiten für die Installation der Komponente und
• Zuständigkeiten für die Abnahme der Komponente

Kapitel 4.3: Inbetriebnahme der Netzsensoren

Für sämtliche Netzsensoren ist in separaten Abschnitten das Vorgehen ihrer Inbetriebnahme zu beschreiben. Dies umfasst

• Installationshinweise,
• Zuständigkeiten für die Installation des Netzsensors und
• Zuständigkeit für die Abnahme der Komponente.

Kapitel 4.4: Inbetriebnahme der Hostsensoren

Für sämtliche Hostsensoren ist in separaten Abschnitten das Vorgehen ihrer Inbetriebnahme zu beschreiben. Dies umfasst

• Installationshinweise,
• Zuständigkeiten für die Installation des Hostsensors,
• Zuständigkeit für die Abnahme des Hostsensors.

Kapitel 4.5: Anbindung sonstiger mit dem IDS in Zusammenhang stehender Systeme

Die Inbetriebnahme sonstiger, mit dem IDS in Zusammenhang stehender Systeme, wie z. B. Mailserver oder SMS-Gateway, ist zu beschreiben. Dies umfasst

• Installations- und Konfigurationshinweise,
• Zuständigkeiten für die Installation der Komponenten und
• Zuständigkeiten für die Abnahme der Komponenten.

Kapitel 5: Regelungen für den Betrieb der IDS-Komponenten

Kapitel 5.1: Hardwareservice und Systemwartung

• Wer (welche Organisationseinheit/Rolle) ist für den Hardwareservice und die Systemwartung verantwortlich?
• Durch wen werden die Arbeiten durchgeführt?
• In welchem zeitlichen Abstand sind die Arbeiten auszuführen?
• Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?

Kapitel 5.2: Monitoring

• Wer (welche Organisationseinheit/Rolle) ist für das IDS-Monitoring verantwortlich?
• Durch wen werden die Arbeiten durchgeführt?
• Zu welchen Zeiten soll das IDS-Monitoring durchgeführt werden? (7 x 24 Stunden?)
• Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?

Kapitel 5.3: Backup

• Wer (welche Organisationseinheit/Rolle) ist für das Backup des IDS verantwortlich?
• Durch wen werden die Arbeiten durchgeführt?
• In welchem zeitlichen Abstand sind die Arbeiten auszuführen?
• Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?

Kapitel 5.4: Präventive Dienste

• Welche Arbeiten sind präventiv durchzuführen?

  • Kalibrierung der IDS-Sensoren
  • Beobachtung von Veränderungen an überwachten IT-Systemen und Netzen
  • Regelmäßige Durchführung von Alarm- und Eskalationsübungen
• Wer (welche Organisationseinheit/Rolle) führt die jeweiligen Arbeiten durch?
• Wer ist für die Durchführung verantwortlich?
• In welchem zeitlichen Abstand sind die Arbeiten auszuführen?

Kapitel 5.5: Dokumentation

• Wer (welche Organisationseinheit/Rolle) ist für die Dokumentation des IDS verantwortlich?
• Durch wen werden die Arbeiten durchgeführt?
• In welchem zeitlichen Abstand ist die Dokumentation zu überprüfen und ggf. zu ergänzen?

Kapitel 5.6: Change Management

• Was unterliegt dem Change Management des IDS?

  • Berücksichtigung von Änderungen an überwachten IT-Systemen und Netzen,
  • IDS-Signatur-Updates,
  • IDS-Versions-Upgrades.
• Wer (welche Organisationseinheit/Rolle) ist für die Fortentwicklung des IDS verantwortlich?

• In welchem zeitlichen Abstand ist die Notwendigkeit von Änderungen zu prüfen?

  • IDS-Signatur-Updates,
  • IDS-Versions-Upgrades.
• Durch wen werden die Arbeiten durchgeführt?

Kapitel 5.7: Administration des IDS

• Wer (welche Organisationseinheit/Rolle) ist für die Administration des IDS verantwortlich?
• Durch wen werden die Arbeiten durchgeführt?
• Zu welchen Zeiten soll die Administration des IDS erfolgen?
• Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?

Kapitel 6: Regelungen zur Behebung von Betriebsunterbrechungen

Kapitel 6.1: Störungsmanagement

In diesem Abschnitt werden Regelungen für den Fall einer Betriebsstörung des IDS (nicht Störungen der überwachten Systeme) dokumentiert:

• Verantwortlichkeit für das Management bei Störungen des IDS
• Regelung zur Meldung (Eskalation) bei Störungen des IDS
• Grobkriterien zur Ersteinschätzung der Schwere der Störung des IDS

Kapitel 6.2: Behebung von Funktionsstörungen (Recovery-Maßnahmen)

• Hinweise zur Störungsbeseitigung für die betreffende Komponente
• Hinweise zu Störungen, die in der Vergangenheit auftraten (Störfallszenarien) und Erfahrungsberichte

Kapitel 7: Richtlinien zur Nutzung des IDS

Kapitel 7.1: Benutzer-Rollen, Zugangs- und Zugriffsrechte

Kapitel 7.2: Verantwortung für Vergabe und Entzug von IDS-spezifischen Zugangs- und Zugriffsrechten

Anlage

In der Anlage sollten Detailinformationen, die sich in kurzen Zeitabständen ändern können (Telefonnummern, Rolleninhaber) aufgeführt werden. Hinzu kommen Informationen zu Organisationseinheiten und Systemstandorten sowie ein Literatur- und Abkürzungsverzeichnis.

6.2 Übersicht über betriebsrelevante Prozesse und Aktivitäten

Die nachfolgende Tabelle gibt eine Übersicht über die wesentlichen betriebsrelevanten Prozesse und Aktivitäten. Die einzelnen Ablaufschritte wurden im Rahmen der Beschreibung der Zuständigkeiten und Verantwortlichkeiten der Rollen in Anhang 5.1 erläutert.

Prozess/Aktivität	Ablaufschritte	Rolle	Ausführungszeitpunkt
Verfeinerung der IDS-Kalibrierung	Prüfung der möglichen Auswirkungen des Ereignisses Festlegung einer Intrusion-Response auf das Ereignis Falls Alarmierung vorgesehen wird: Festlegung eines Alarmlevels und Prüfung bzw. Anpassung des IDS-Eskalationsplans	IDS-Administration	Regelmäßig beim Auftreten von Ereignissen, die bislang nicht bewertet wurden
Nachverfolgung von Ereignissen	Prüfung der Auswirkungen des Ereignisses und angemessene Reaktion Prüfung, ob Einstufung als "Protokollierung zur Nachverfolgung" weiterhin sinnvoll und korrekt ist Ggf. Anpassung der Kalibrierung	IDS-Administration, ggf. unterstützt durch IDS-Incident-Response	Regelmäßig beim Auftreten von Ereignissen, für die eine "Protokollierung zur Nachverfolgung" erfolgt
Reaktion auf IDS-Alarme	Annahme des Alarms und Eskalation gemäß IDS-Eskalationsplan	IDS-Monitoring	Bei IDS-Alarmierungen
	Prüfung der Auswirkungen des Ereignisses und angemessene Reaktion (vgl. Anhang 5.1) Informieren der IDS-Administration	IDS-Incident-Response
	Nachbearbeitung des IDS-Alarms (vgl. Anhang 5.1	IDS-Administration
Aktualisierung der Signaturen	Einspielen der Signaturen Kalibrierung der neuen Signaturen Dokumentation der Aktualisierung	IDS-Administration	Regelmäßig, sobald neue Signaturen verfügbar sind
Aktualisierung der IDS-Software	Aktualisierung der IDS-Software Funktionsprüfung der aktualisierten Komponenten Dokumentation der Aktualisierung	IDS-Administration, Systemadministration	Falls Software-Patches oder neue IDS-Versionen verfügbar
Begleitung der IT-Planung und IT-Entwicklung	IDS-Manager ist in IT-Planungs- und Entwicklungsprozesse einzubinden Stellungnahme zu Auswirkungen der Planung/Entwicklung auf die Überwachungsfunktionen des IDS	IDS-Manager	Regelmäßig, sobald konkrete Planungen vorliegen
Anpassung des IDS	Abstimmung der Einsatzziele und der Einsatzweise des IDS in der veränderten IT-Infrastruktur Ggf. Aktualisierung der Sicherheitsstandards im Hinblick auf veränderte IDS-Einsatzziele	IDS-Manager	Änderungen der zu überwachenden IT-Infrastruktur
	Durchführung der notwendigen Anpassungen, z. B. Integration zusätzlicher Sensoren Aktualisierung der Kalibrierung Aktualisierung der Dokumentation	IDS-Administration, Systemadministration
Datensicherung des IDS	Datensicherung veränderter bzw. aktualisierter Komponenten Dokumentation der Datensicherung	IDS-Administration, Systemadministration	Regelmäßig, nach jeder wesentlichen Änderung bzw. Aktualisierung des IDS